Aisle Security découvre des vulnérabilités critiques dans OpenEMR
Les chercheurs en sécurité d'Aisle ont identifié 38 vulnérabilités distinctes dans OpenEMR, l'un des systèmes de dossiers médicaux électroniques (EMR) open-source les plus largement déployés utilisés par les organisations de santé dans le monde entier. Les failles ont été découvertes grâce à des tests de sécurité complets effectués sur la version 7.0.2 d'OpenEMR, la version stable actuelle utilisée par des milliers de cabinets médicaux, hôpitaux et établissements de santé à l'échelle mondiale.
OpenEMR sert de composant d'infrastructure critique pour la santé, gérant les dossiers des patients, la planification des rendez-vous, les systèmes de facturation et les flux de travail cliniques pour les prestataires de soins de santé. Le logiciel traite des informations de santé protégées (PHI) hautement sensibles sous les réglementations HIPAA, rendant ces vulnérabilités particulièrement préoccupantes pour le secteur de la santé. Les failles découvertes couvrent plusieurs catégories, y compris le contournement de l'authentification, l'injection SQL, le cross-site scripting et les vulnérabilités d'escalade de privilèges.
L'équipe de recherche d'Aisle a mené son analyse en utilisant à la fois des outils automatisés de balayage de vulnérabilités et des techniques de test de pénétration manuelles. Leur méthodologie comprenait la révision du code source, les tests de sécurité des applications dynamiques et des scénarios d'attaque simulés contre des installations de test d'OpenEMR. Les chercheurs se sont concentrés sur les vecteurs d'attaque courants des applications web, les points de terminaison API, les interactions avec les bases de données et les mécanismes d'authentification des utilisateurs qui sont des cibles typiques dans l'exploitation des logiciels de santé.
Selon les résultats de la recherche, plusieurs des vulnérabilités identifiées peuvent être enchaînées pour obtenir une compromission complète du système. Les failles les plus graves permettent à des attaquants distants non authentifiés d'obtenir un accès administratif aux installations d'OpenEMR, exposant potentiellement des bases de données entières de patients. D'autres vulnérabilités permettent aux utilisateurs authentifiés avec des privilèges limités d'escalader leurs droits d'accès et de modifier des configurations système critiques ou des dossiers de patients sans autorisation appropriée.
Le moment de cette divulgation est particulièrement significatif compte tenu de la transformation numérique en cours de l'industrie de la santé et de la dépendance accrue aux systèmes de dossiers de santé électroniques. Les organisations de santé sont devenues des cibles de choix pour les cybercriminels cherchant à voler des données médicales précieuses pour le vol d'identité, la fraude à l'assurance ou les attaques par ransomware. Les dossiers de santé des patients peuvent se vendre des centaines de dollars sur les marchés du dark web, rendant les bases de données de santé des cibles lucratives pour les acteurs malveillants.
Les organisations de santé utilisant OpenEMR font face à un risque d'exposition
Les vulnérabilités affectent toutes les organisations de santé utilisant actuellement la version 7.0.2 d'OpenEMR et potentiellement les versions antérieures du logiciel. OpenEMR maintient une présence significative sur le marché du secteur de la santé, avec plus de 100 000 installations dans le monde entier desservant des millions de patients dans les hôpitaux, cliniques, cabinets privés et centres de santé communautaires. Le logiciel est particulièrement populaire parmi les petits prestataires de soins de santé et les organisations dans les pays en développement en raison de sa nature open-source et de son rapport coût-efficacité par rapport aux solutions EMR propriétaires.
Les établissements de santé utilisant OpenEMR dans des déploiements cloud font face à un risque accru, car les installations accessibles via Internet fournissent des vecteurs d'attaque à distance pour les acteurs malveillants. Les organisations qui ont personnalisé leurs implémentations d'OpenEMR ou intégré le logiciel avec des applications de santé tierces peuvent rencontrer une complexité supplémentaire dans l'évaluation de leur exposition aux vulnérabilités. La nature interconnectée des environnements informatiques modernes de la santé signifie que la compromission d'un système EMR peut potentiellement fournir aux attaquants un accès aux dispositifs médicaux connectés, aux systèmes de laboratoire et aux réseaux administratifs.
Selon les réglementations HIPAA, les organisations de santé subissant des violations de données affectant 500 personnes ou plus doivent signaler les incidents au Département de la Santé et des Services sociaux dans les 60 jours. Les violations plus petites affectant moins de 500 personnes doivent être signalées annuellement. Le potentiel de ces vulnérabilités à permettre une exposition à grande échelle des données des patients crée des préoccupations importantes en matière de conformité et de responsabilité légale pour les prestataires de soins de santé concernés. Les organisations peuvent faire face à des amendes réglementaires, à des actions en justice de la part des patients concernés et à des dommages à leur réputation pouvant affecter leur capacité à maintenir la confiance des patients et les opérations commerciales.
Étapes de réponse immédiate pour les administrateurs d'OpenEMR
Les organisations de santé utilisant OpenEMR devraient immédiatement mettre en œuvre des protections au niveau du réseau en attendant les correctifs officiels de l'équipe de développement. Les administrateurs système devraient restreindre l'accès réseau aux installations d'OpenEMR en mettant en œuvre des règles de pare-feu qui limitent les connexions aux adresses IP et réseaux de confiance. Les pare-feu d'applications web (WAF) peuvent fournir une protection supplémentaire en filtrant les requêtes malveillantes et en bloquant les modèles d'attaque courants associés aux types de vulnérabilités identifiés.
Les organisations devraient mener des évaluations de sécurité urgentes de leurs déploiements d'OpenEMR pour identifier les indicateurs potentiels de compromission. L'analyse des journaux devrait se concentrer sur les tentatives d'authentification inhabituelles, les requêtes de base de données inattendues, les événements d'escalade de privilèges et l'accès non autorisé aux dossiers des patients. Les administrateurs système devraient examiner les comptes d'utilisateurs pour détecter toute activité suspecte, vérifier que les privilèges administratifs sont correctement restreints et s'assurer que tous les accès des utilisateurs suivent le principe du moindre privilège.
La communauté de développement d'OpenEMR coordonne avec les chercheurs d'Aisle pour développer et tester des correctifs de sécurité pour les vulnérabilités identifiées. Les organisations de santé devraient surveiller les canaux officiels du projet OpenEMR et les listes de diffusion de sécurité pour les annonces de disponibilité des correctifs. Étant donné la nature critique des systèmes EMR dans les opérations de santé, les organisations devraient planifier un déploiement coordonné des correctifs pendant les fenêtres de maintenance pour minimiser les perturbations des activités de soins aux patients. Les procédures de sauvegarde et de récupération devraient être vérifiées avant d'appliquer des mises à jour de sécurité pour garantir une capacité de restauration rapide en cas de problème lors du processus de correction.
Comme mesure d'atténuation provisoire, les organisations peuvent mettre en œuvre des contrôles d'authentification supplémentaires tels que l'authentification multi-facteurs pour tous les comptes utilisateurs d'OpenEMR, en particulier les utilisateurs administratifs. Les outils de surveillance de l'accès aux bases de données peuvent aider à détecter les requêtes non autorisées ou les tentatives d'extraction de données qui pourraient indiquer une exploitation active des vulnérabilités découvertes. Les organisations de santé devraient également revoir leurs procédures de réponse aux incidents et s'assurer que les processus de notification de violation sont prêts à être activés si des preuves de compromission des données des patients sont découvertes.
